Group Policy

Bu makalede Group Policy (GPO ) ‘nin  birçok avantajlarından söz edicez ve bilemediğimiz yönlerine göz atıyoruz. Group Policy uygulaması  Domain Controller (DC) olan bilgisayarlara yüklenerek etki alanındaki bilgisayarlara , kullanıcı yapılandırılması ve bilgisayar yapılandırılması bazında kısıtlamalar uygulayabiliriz.Client bilgisyarlara kısıtlama yapmak dışında ; program yükleyebiliriz , program versiyonunu yükseltebiliriz  ve program kaldırma yapabiliriz ; kullanıcı dosyalarını başka bilgisyarlara yönlendirmesini de yapabiliriz. Group Policy uygulamasını  Domain Controller lara yüklemek için

GPMC

yükleme linki kullanılabilir. Bu uygulamanın yüklenmesi ile birlikte Domain Controller bilgisayarda Start – Programs – Administrative Tools içinde Group Policy Management adında bir yönetimsel araç oluşacaktır.Group Policy ile yapılan ayarlar kullanıcı hesabı , bilgisayar hesabı , OU , Active Directory Site veya Domain bazında uygulanabilir.Active Directory içinde Users , Computers , Built – in gibi varsayılan container lara Group Policy yapılandırmaları uygulanamaz.Bir Ggroup Policy objesi içindeki ana menüler

 

Administrative Templates : Kullanıcının masaüstü , görev çubuğu , start menu gibi görsel ayarları ile alt menülerde geçen  uygulamaların yapılandırılması için kullanılır.Denetim Masası seçenekleri ile Çevrimdışı Dosyalara ait ayarlar da bu yapılandırma ayarlarının içinde bulunur.

 Windows Settings / Security : Client , Domain ve Network güvenlik ayarlarını içerir.İzleme ( audit ) işlemleri ( sisteme logon / logoff işlemleri , kullanıcıların paylaşımlı klasörlere erişimi ve buralardan dosya açıp program çalıştırmaları gibi ) bu yapılandırmanın içinde bulunur.

 Software Settings / Software Installation : Client lara yazılımların yüklenmesi ve kaldırılması , yazılımların sürüm yükseltme ( upgrade ) işlemleri bu yapılandırma içinden yapılır.

 Windows Settings / Scripts : Kullanıcıların oturum açma / oturum kapatma işlemleri sırasında çalıştırılacak script leri içerir.

 Windows Settings / Remote Installation Services : Kullanıcı bilgisayarlarına ağ üzerinden Windows yüklemesi yapan bu servisin seçeneklerinin kontrolünü sağlar.

 Windows Settings / Internet Explorer Maintenance : Internet Explorer ile ilgili ayarları ( homepage , search page gibi ) içerir.

 Windows Settings / Folder Redirection : Kullanıcıların Application Data , Desktop , Start Menu , My Documents klasörlerinin içeriklerini ağ üzerinde bir bilgisayarda paylaşımlı bir klasöre yönlendirip , kullanıcının bu bilgilerinin burada tutulmasını sağlar.

Group Policy Objesi Oluşturma

Group Policy objeleri Domain Controller üzerinde Windows Sysvol Sysvol klasörü içinde tutulur.Kısıtlama veya program yapılandırması , program yükleme / kaldırma işlemi uygulamak için önce Group Policy Object ( GPO ) oluşturulur.Daha sonra oluşturulan GPO uygulanması istenilen OU , Site veya Domain ile ilişkilendirilir ( link verilir) .Group Policy objesi oluşturmak ve de oluşturulan objeye Active Directory üstünde istenilen objelerle ilişkilendirmek için , Start – Programs – Administrative Tools içinden Group Policy Management  uygulamasına girilir.Forest içine girilerek altında bulunan etki alanının alt menüleri açılır.Active Directory üzerinde Group Policy uygulanmak istenen bölüme sağ tuş ile basılarak Create and Link a GPO Here sekmesine tıklanır.

 

Gelen New GPO ekranında Name kutusuna oluşturulan Group Policy Objesi ( GPO ) adı girilir.

 

GPO adı girildikten sonra ekranın sağ tarafında oluşturulan yeni GPO görüntülenir.

 

Oluşturulan policy ye çift tıklandığında gelen ekranda Scope sekmesinde Security Filtering kısmında varsayılan olarak Authenticated Users görünür.Burada ekleme veya çıkartma yapılarak policy ayarlarının hangi kullanıcı veya gruplara uygulanacağı belirlenir.GPO direkt olarak uygulanmak ilişkilendirilmek OU üzerinden uygulandığında , Security Filtering kısmında değişiklik yapmaya gerek yoktur.OU üzerinden direkt olarak uygulanan GPO , ilişkilendirildiği OU içindeki objelere direkt olarak uygulanacak , diğer Active Directory objelerini etkilemeyecektir.

 

Üst kısımdaki Details sekmesine girildiğinde GPO Status bölümündeki seçenekler

 

 

Computer configuration is disabled : Policy ayarları içinde Computer Configuration altındaki yapılandırmaları devre dışı bırakır.Sadece User Configuration altındaki yapılandırmalar geçerli olur.

 

User configuration is disabled : Policy ayarları içinde User Configuration altındaki yapılandırmaları devre dışı bırakır.Sadece Computer Configuration altındaki yapılandırmalar geçerli olur.

 

All settings disabled : Policy içindeki tüm yapılandırmalar devre dışı bırakır.

 

Enabled : Policy içinde uygulanmış tüm yapılandırmalar ( User Configuration , Computer Configuration ) devreye girer.Bir GPO oluşturulduğu zaman varsayılan ayardır.

 

Üst kısımdaki sekmelerden Settings sekmesinde ise , oluşturulmuş policy objesinin içindeki yapılandırmalar görüntülenir.

 

Delegation sekmesinde , policy objesi üzerinde işlem yapabilecek diğer kullanıcı veya kullanıcı grupları ve GPO üzerinde yapabilecekleri işlemler belirtilir.Organizational Unit konusunda anlatılan Delegation Control özelliği ile aynı özelliktir.

Add butonuna basılarak istenen kullanıcılar ve kullanıcı grupları eklenir.Kullanıcı veya kullanıcı grubu seçimi yapıldığında , ekrandaki Add Group or User ekranında Permissions bölümünden verilecek yetki seçimi yapılır.

GPO üzerinde işlem yetkileri

 

Read : GPO içindeki yapılandırma ayarlarını görüntüler.

 

Edit Settings : GPO içindeki yapılandırma ayarlarını değiştirir.

 

Edit Settings , delete modify security : GPO içindeki yapılandırma ayarlarını değiştirir ve GPO içinde Security Settings kısmındaki ayarları değiştirir.

 

GPO ilk oluşturulduğunda , içindeki ayarların tümü yapılandırılmamış ( Not Configured ) durumdadır.Bir ayarı devreye sokmak için üzerine çift tıklayıp ( veya üzerine sağ tuş ile tıklayıp Properties bölümüne girip ) Enabled seçeneği , devre dışı bırakmak için Disabled seçeneği seçilir.

 

Örnek olarak Internet Explorer web tarayıcısı üzerinden dosya indirmeyi engellemek için ; User Configuration – Administrative Templates – Windows Components – Internet Explorer menüsü içinden Browser Menus bölümüne girilir.Browser Menus içinde ,  File Menu:Disable Save As… menu option ve Disable Save this program to disk menu option seçenekleri devreye ( Enable ) sokulur.

 

 

Group Policy Ayarlarını Devreye Sokma

Group Policy ayarlarını uygulandığı bilgisayarda devreye sokmak için , üç değişik yol vardır.Bunlardan birincisi , Group Policy uygulanan bilgisayarın etki alanında oturumunu kapatıp tekrar oturum açması ( Logon / Logoff )  veya bilgisayarın yeniden başlatılması , ikincisi GPO ayarlarının etkinleştirilmek istenildiği bilgisayarda komut satırında gpupdate /force komutunun kullanılmasıdır.gpupdate /force komutu ile Group Policy ayarlarının hemen devreye girmesi sağlanır.gpupdate komutu /wait parametresi ile kullanılırsa , wait kısmında belirtilen değer saniye cinsindendir.Group Policy ayarları belirtilen saniye cinsinden zaman sonrası bilgisayarda devreye girer.Varsayılan değer 600 saniyedir./target parametresi o bilgisayarda etkinleştirilecek GPO lar içinde hangi yapılandırmanın etkinleştirileceğini gösterir.gpupdate /target:computer | user komutu GPO içinde Computer Configuration ve User Configuration içinde yapılmış olan ayarların uygulanacağını belirtir.gpupdate /target:Computer şeklinde kullanıldığında sadece Computer Configuration içindeki ayarlar , /target:User şeklinde kullanıldığında sadece User Configuration içindeki ayarlar bilgisayara uygulanır.gpupdate /logoff komutu ise ,  Group Policy ayarlarının bilgisayara logoff olunduğu anda uygulanacağını gösterir.

Domain Security Policy – Domain Controller Security Policy

 

Domain Security Policy içinde yapılan ayarlar , Domain Controller olan bilgisayar dahil , etki alanı içindeki tüm bilgisayarlarda etkili olur.Domain Controller Security Policy ise , sadece Domain Controller olan bilgisayar üzerinde etkilidir.Domain Security Policy ve Domain Controller Security Policy menüleri

 

Account Policies

 

A.Password Policy : Bu policy içinde kullanıcı şifrelerine ilişkin ayarlar bulunur.

 

Enforce password history : Buraya girilen değer kadar şifre kullanıcı tarafından şifresinin süresi dolduğunda tekrar kullanılamaz.Varsayılan değer 24 tür.Kullanıcı şifresini değiştirdiğinde , en son kullandığı 24 şifreyi tekrar kullanamayacaktır.

 

Maximum password age : Şifrenin gün cinsinden maksimum geçerlilik süresidir.Varsayılan değer 42 gündür.

 

Minimum password age : Active Directory içindeki kullanıcı hesaplarının şifrelerinin gün cinsinden minimum geçerlilik süresidir.Varsayılan değer 7 gündür.

 

Minimum password length : Active Directory içindeki kullanıcı hesaplarının şifrelerinin en az kaç karakter olması gerektiği değeridir.

 

Password must meet comlexity requirements : Varsayılan seçenek olarak bu ayar etkin ( Enabled ) durumdadır.Bu durumda kullanıcı şifrelerinde 789 , xyz gibi basit şifreler kullanılamayacaktır.Bu tip şifreler girildiğinde Domain Controller olan bilgisayardan Password Policy ayarları ile uyuşmazlık olduğu için şifrenin kabul edilmediğini belirten bir mesaj gelecektir.Policy seçeneği devre dışı  ( Disabled ) kalırsa , basit şifreler kullanılması mümkündür.

 

B. Account Lockout Policy : Bu policy etkinleştirildiğinde , kullanıcı Account lockout threshold kısmındaki değer kadar şifresini Reset account lockout counter after bölümündeki zaman içinde hatalı girerse kullanıcı hesabı , Account lockout duration bölümündeki değer kadar dakika cinsinden kilitlenecek , böylece kullanıcı etki alanına giriş yapamayacaktır.

 

Local Policies

 

A. Audit Policy : Ağ üzerindeki paylaşımlar üzerinde kullanıcıların  hareketlerini izlemek için kullanılır.Etkinleştirildiğinde  yapılan ayara göre kullanıcıların başarılı / başarısız hareketleri Event Viewer içinde Security bölümüne düşer.

 

Audit account logon events : Kullanıcı girişlerinin izlenmesi.

 

Audit account management : Kullanıcıların özelliklerinde yapılan değişiklikler , şifre değişikliklerinin izlenmesi.

 

Audit directory service access : Kullanıcıların Active Directory  erişimlerinin izlenmesi.

 

Audit logon events : Etki alanına girişlerin izlenmesi.

 

Audit object access : Ağ üzerindeki bir paylaşımlı klasördeki dosyalara erişilmesi.

 

Audit policy change : GPO içinde yapılan değişikliklerin izlenmesi.

 

Audit privilidge use : Kısıtlı kullanımların izlenmesi.

 

Audit process tracking : Ağ üzerindeki bir paylaşımlı klasörden program çalıştırılması.

 

Audit system events : Bilgisayarlar üzerindeki servislerle ilgili başla , durma , yeniden başlatılma gibi hareketlerin izlenmesi.

 

B. User Rights Assigment : Bu bölümde kullanıcılara bilgisayar veya etki alanı üzerinde yetki vermeye sağlayan menüler bulunur.

 

Add workstations to domain : Bu yetkinin verildiği kullanıcı veya kullanıcı grubu bilgisayarları etki alanına dahil etme yetkisine sahip olurlar.Varsayılan ayar olarak Authenticated Users bu yetkiye sahiptir.Add workstations to domain yetkisi Domain Security Policy değil , Domain Controller Security Policy içinden verilmelidir.

 

                  

 

Loopback Processing Mode

Bir GPO açıldığında içinde iki tip yapılandırma bulunmaktadır.User Configuration ve Computer Configuration.Her iki yapılandırmada da bazı ayarlar girilmişse ve iki yapılandırma arasında ayarlardan birisi çakışıyorsa , çakışan ayarda Group Policy varsayılan olarak Computer Configuration altındaki ayarı uygular , diğerini devre dışı bırakır.Bu varsayılan ayarı değiştirmek için , GPO içinde  Computer Configuration – System – Group Policy alt menüsüne girilir.Ekranın sağ tarafındaki Setting ekranında User Group Policy loopback processing mode seçeneğine girilir.

 

Loopback Processing Mode

 

Bir GPO açıldığında içinde iki tip yapılandırma bulunmaktadır.User Configuration ve Computer Configuration.Her iki yapılandırmada da bazı ayarlar girilmişse ve iki yapılandırma arasında ayarlardan birisi çakışıyorsa , çakışan ayarda Group Policy varsayılan olarak Computer Configuration altındaki ayarı uygular , diğerini devre dışı bırakır.Bu varsayılan ayarı değiştirmek için , GPO içinde  Computer Configuration – System – Group Policy alt menüsüne girilir.Ekranın sağ tarafındaki Setting ekranında User Group Policy loopback processing mode seçeneğine girilir.

 

 

Enable ile seçenek devreye sokulduktan sonra Mode seçeneklerinde , Replace mod seçilirse User Configuration ve Computer Configuration ayarlarında bir çakışma olduğunda , Group Policy , Computer Configuration içindeki ayarı devreye sokar.User Configuration içindeki tüm ayarlar çakışmayanlar da dahil olmak üzere devre dışı kalır.Merge mod seçildiğinde ise , çakışma durumunda yine Computer Configuration içindeki  ayar geçerli sayılır.Çakışan ayar dışında User Configuration içindeki tüm ayarlar uygulanmaya devam eder.

 

 

Turn Off Background Refresh of Group Policy

 

GPO ayarlarının anlatılan sürelerde otomatik olarak tekrar uygulanması istenmezse , Computer Configuration – Administrative Templates – System içinden Group Policy alt menüsünde Turn off background refresh of Group Policy seçeneği devre dışı ( Disabled ) bırakılır.

 


 

 

Group Policy Slow Link Detection

Group Policy varsayılan ayar olarak ayarları uygulamak için network hızının 500 Kbps olduğunu kabul eder.Network hızı 500 Kbps den düşükse , ağ bağlantısı yavaş olacağı için bilgisayarlara Group Policy ayarlarının uygulanması zaman aşımına uğrayacaktır ve GPO ayarları uygulanmayacaktır.Bunu önlemek için , network hızı 500 Kbps den düşük olan network lerde GPO içinden network hızının varsayılan ayarının değiştirilmesi gerekir.Bunu yapmak için , GPO içinde Computer Configuration – Administrative Templates – System içinden Group Policy alt menüsüne girilir.

 

 

Group Policy slow link detection seçeneği devreye sokulur ve Connection Speed kısmında network hızı belirtilir.Network hızı düşürüldüğü zaman Group Policy , ayarları uygulamak için client bilgisayar bağlantılarını daha uzun süre bekleyecektir.

 

 

GPO Uygulama Yetkileri

 

Group Policy Management Console , Domain Controller bilgisayara kurulduğu zaman , Active Directory içinde Group Policy Creator Owners adında bir yetki grubu oluşturur.Bu gruba üye olan kullanıcılar GPO oluşturabilirler , ancak oluşturdukları GPO ya link veremezler yani oluşturulan policy objesini uygulanması için herhangi bir obje ile ( OU , Site , User , Computer gibi ) ilişkilendiremezler.Group Policy objesi oluşturma ve link verme ( ilişkilendirme ) yetkisi Active Directory üzerinde Domain Admins ve Enterprise Admins gruplarının üyelerine aittir.Bir OU yöneticisi ise sadece oluşturulmuş Group Policy objesini , yetkili olduğu OU ile ilişkilendirebilir.Eğer Group Policy objesi bir Site ye uygulanacaksa, Enterprise Admins grubunun üyesi olan kullanıcılar bu işlemi gerçekleştirebilirler.

Group Policy Objesini ve Linkini İptal Etmek

 

Oluşturulmuş bir policy objesini iptal etmek için , Start – Programs – Administrative Tools  içinde Group Policy Management uygulamasına girilir.İptal edilmek istenen GPO bulunarak sağ tarafta GPO üzerine çift tıklanır.Çift tıklandığında sağ taraftaki ekran , GPO özellikleri menüsü olarak değişir.Bu ekranda Scope menüsünde Location kısmında belirtilen yerin üstüne sağ tuş ile basılarak Link Enabled sekmesine tıklanır.Bu şekilde link iptal edilir.Bu policy objesinin uygulandığı yerle ilişkilendirilmesini devre dışı bırakır.

 

 

Daha sonra  Settings kısmına girilerek GPO Status kısmından All settings disabled seçeneği seçilir.Bu işlem , GPO içindeki tüm ayarların devre dışı bırakılmasını sağlar.

 

 

Ekrana işlemin yapılıp istenip istenmediğine dair uyarı mesajı gelir.Onaylanarak GPO içeriği boşaltılır.

 

 

Bu işlemlerden sonra ekranın sol tarafında Group Policy Objects menüsü altından GPO silinir.

 

 

Group Policy Inheritance

 

Bir OU , Domain veya Site ye birden fazla GPO uygulanırsa ve bu GPO lerinin ayarlarında çakışma olursa , bu durumda ilk sıradaki GPO da geçen ayar geçerli olur.

 

Bir OU , Domain veya Site ye uygulanan GPO dan OU , Domain veya Site de etkilenmesi istenmeyen kullanıcılar varsa ,  Start – Run kutusuna mmc komutu yazılarak bir Management Console açılır.Management Console da File menüsünden Add / Remove Snap-in sekmesine girilerek gelen ekranda Add butonuna basılır ve Add Standalone Snap-in ekranına geçilir.

 

 

 

Snap-in listesi olan bu ekranda Group Policy Object Editor seçilerek Add butonu ile eklenir.

 

 

Ekleme işlemi yapılırken ekrana Select Group Policy Object  sayfası gelecektir.

 

 

Browse butonuna basılır ve üst taraftan All sekmesine geçilerek kullanıcıya uygulanmaması istenilen GPO seçilir.

 

 

Seçim işlemi tamamlandığında ekrana seçilen GPO nun ayarlarını içeren ekran gelir.Burada GPO üzerine sağ tuş ile basılarak Properties sekmesine girilir.

 

 

Gelen ekranda , Security sekmesine geçilir.

 

 

Advanced butonuna basılarak Advanced Security Settings ekranına atlanır.

 

 

GPO dan etkilenmesi istenmeyen kullanıcı Add butonu ile var olan listeye eklenir ve de Permissions kısmında Apply Group Policy karşısından Deny seçilerek bu kullanıcının GPO dan etkilenmemesi sağlanır.

 

 

 

 

Varsayılan olarak Bir OU ya GPO uygulandığı zaman , alt OU lara da bu GPO ayarları otomatik uygulanır.Alt OU lara GPO nun uygulanmasını engellemek için , Block Inheritance özelliği kullanılır.Block Inheritance özelliğini uygulamak için , özelliğin uygulanacağı OU ya Group Policy Management ekranında sağ tuş ile basılarak Block Policy Inheritance sekmesine tıklanır.

 

 

Block Inheritance seçimine rağmen GPO ayarlarının alt OU larda da etkili olması istenirse , Enforced seçeneği uygulanır.Enforced seçeneğini devreye sokmak için , Group Policy Management uygulaması içinde , Enforced seçeneğinin uygulanacağı üst OU nun altından bu özelliğin geçerli olacağı GPO bulunur.GPO üzerine sağ tuş ile basılarak Enforced sekmesi tıklanır.

 

Folder Redirection

 

GPO içinde User Configuration – Windows Settings alt menüsü olan Folder Redirection bölümünden yapılabilen ayarlar ile kullanıcıların Masaüstü , My Documents , Application Data ve Start Menu bilgileri ağ üzerinde paylaşımlı bir klasörde tutulabilir.Bunun için ağ üzerindeki bir bilgisayarda kullanıcıların Desktop klasörünün tutulması için , My Documents klasörünün tutulması için , Application Data klasörünün tutulması için ve Start Menu klasörünün tutulması için ayrı ayrı paylaşımlı klasörler oluşturulur.Klasörlere ait paylaşım tipinin gizli paylaşım olması tavsiye edilir.Daha sonra Folder Redirection için oluşturulan GPO nun yapılandırma ayarları içinde User Configuration – Windows Settings menüsü altındaki Folder Redirection bölümüne girilir.Folder Redirection alt menüsü açıldığında yönlendirilebilecek klasör seçenekleri görünür.Yönlendirme işlemi ayarlarını yapmak için , yönlendirilme işleminin yapılacağı klasöre sağ tuş ile basılıp Properties sekmesine girilir.

 

 

Properties ekranında Target sekmesi içinde Settings kısmında Basic seçeneği seçilir.Alt tarafta Target Folder Location kısmından Create a folder for each user under the root path seçilerek , yönlendirme için oluşturulan klasör altında her kullanıcı için alt klasörler oluşması sağlanır.Root Path kısmından ağ üzerinde kullanıcılara ait yönlendirilmek istenen klasör için oluşturulmuş paylaşımlı klasörün ağ yolu yazılır.

 

 

Settings sekmesinde Select the redirection settings for desktop kısmındaki seçenekler işaretlenmiş olmalıdır.Policy Removal kısmında ise , Redirect the folder back to the local userprofile location when the policy is removed seçeneği seçilirse , policy kaldırıldığı zaman kullanıcıların yönlendirilmiş bilgileri kendi bilgisayarlarındaki orijinal yerlerine tekrar geri taşınacaktır.Leave the folder in the new location when policy is removed seçeneği ile ise , yönlendirilmiş klasörlerin policy de değişiklik yapılarak otomatik olarak ağ üzerindeki başka bir bilgisayardaki başka bir paylaşımlı klasöre taşınması sağlanır.Örnek olarak masaüstü yönlendirmesi için ağ üzerinde \A1Desktop paylaşımlı klasörü kullanıyor durumda.GPO içinde Folder Redirection ayarlarında Root Path kısmında \A1Desktop yolu , \A2Desktop olarak değiştirildiğinde , client bilgisayar oturum  kapatıp açtığında \A1Desktop paylaşımlı klasöründeki bilgiler oturum açılırken otomatik olarak \A2Desktop paylaşımlı klasörüne taşınacaktır.Kullanıcı artık bu klasörden çalışacaktır.Bilgiler elle yeni yere kopyalanmam yerine bu şekilde işlem otomatik olarak gerçekleşecektir.Bu işlemler yapıldıktan sonra Folder Redirection  ayarları tamamlanmış olur.

 

 

 

Exit mobile version